AXA用户指南
Farsight Security(现在是香格里拉娱乐的一部分)的高级Exchange访问(AXA)是一套工具和库代码,它带来了 安全信息交换 (SIE)直接连接到最终用户的网络。
SIE是一个可扩展且适应性强的实时数据流和信息共享平台。SIE从其全球传感器网络收集并提供每秒超过200000次的原始数据观测。Farsight还应用了独特的专有方法来提高数据的可用性,直接与SIE客户和DNSDB®共享精确的情报,DNSDB®是世界上最大的被动DNS(pDNS)数据库之一。
SIE提供的各种数据包括以下内容,对各种技术角色的从业者来说是相关和有用的:
- 原始和处理的被动DNS数据
- 暗网/暗空间望远镜数据
- 垃圾邮件来源和网址
- 网络钓鱼网址和相关目标品牌
- 恶意软件感染系统的连接尝试(如灰岩坑所示)
- 入侵检测系统(IDS)和防火墙设备阻止的网络流量
SIE中的每一组独特数据都被称为 通道 从特定渠道获取的数据可以定制以满足每个客户的需求,使您能够仅订阅和访问解决问题所需的渠道。SIE中的通道可能是原始数据分析的结果,也可能是来自其他通道的数据子集。
SIE提供的数据 通道 订阅套餐包括:
- 原始被动DNS:实时观察从互联网上的DNS递归解析器发送到权威名称服务器的DNS缓存未命中流量。DNS信息包括各种区域运营商提供的权威DNS数据,以及权威名称服务器对递归解析器查询的响应
- 增值被动DNS:在互联网上观察到的实时重复数据消除、过滤和验证的被动DNS(pDNS)数据
- 新观察域(NOD)和新观察主机名(NOH):域和主机名、完全限定域名(FQDN)首次在互联网上成功解析时的实时可操作见解
- 基础频道:一组威胁情报渠道,提供对蜜罐数据(暗网和垃圾邮件)和僵尸网络(如Conficker)灰岩坑数据的访问。这些数据还包括钓鱼活动的威胁情报,以及被入侵检测系统(IDS)和防火墙设备阻止的网络流量的日志数据
- 高级频道:一系列与安全相关的高级提要,包括恶意软件元数据、IOC和其他遥测数据。订阅者将智能作为实时事件流来消费,而不是传统的批处理传输——后者本质上是延迟的
这个 SIE频道指南 提供了SIE可用频道的概述。
高级Exchange访问工具包
高级交换访问(AXA)工具包包含工具和C库,可将Farsight的实时数据和服务直接从Farsight安全信息交换(SIE)带到用户的网络边缘。
AXA使订阅者能够连接到Farsight基于订阅的SRA(SIE远程访问)服务器。这些服务器提供对Farsight SIE构建的数据和服务的访问。
高级Exchange访问工具包的内容
Farsight在Advanced Exchange Access Toolkit中免费提供了几个最终用户工具来流式传输AXA数据。此分发包含以下内容:
- sratool:一个命令行工具,用于连接到SRA服务器、设置监视、启用SIE通道和流式传输数据。
- sratunnel:将SIE数据流式传输到本地网络的命令行工具。
- 利巴萨:为AXA协议提供API的C库,包括:
- 连接实例化/断开
- 消息封装/解封装
- 监视解析/加载
- 控制数据包速率限制、采样率、窗口大小和许多其他AXA特定功能
香格里拉娱乐将讨论的许多功能和选项在所有工具中都是相同的,并在适当的情况下给出示例。
远视远程访问
SIE远程访问(SRA)是远视科技的软件解决方案,旨在为远程用户提供SIE内容。SRA使SIE信道流量能够通过互联网上的TCP流进行传输。为了减少带宽,SRA为订阅者提供了跨一组通道调用服务器端过滤功能的能力,只选择与特定域名/IP地址搜索条件匹配的记录子集。
Advanced Exchange Access工具和库代码套件是实现Farsight SRA服务的软件。
AXA套件由两个Unix命令行工具和一个C库组成,开发人员可以使用它们构建自定义SRA应用程序。
sratool
sratool AXA瑞士军刀。它是一个用于测试、调试或流式传输AXA连接的多功能工具。它连接到SRA服务器,发送协议消息并显示响应。它还可以像sratunnel一样隧道传输SIE数据。
sratunnel
sratunnel 将选定的SIE数据从远程服务器传输到本地网络。创建并恢复与服务器的连接,重试之间有二进制指数延迟。
sratunnel 是安盛家族的主力军。它用于将SIE数据从远程服务器传输到本地网络。Farsight使用它向客户进行SIE数据的生产部署。 sratunnel 可以被认为是SIE数据的快速、高效和智能管道。数据在一端 sratunnel 可以将数据转换为不同的输出格式,包括:
- NMSG到UDP端口
- NMSG到TCP端口
- NMSG到文件
- pcap到文件
- pcap到网络接口
利巴萨
利巴萨 是向应用程序程序员公开AXA API的C编程库。
AXA协议
AXA协议记录在标题为 AXA协议 在GitHub存储库中的README文件中 远景高级交换访问工具包.
AXA限额
SIE网络提供的一些频道突发到极高的比特率。AXA有两种方法来处理这种网络饥饿的情况:可选的过滤和协议中内置的容错。
过滤可以采取以下形式之一:
- 通过速率限制选项将入口数据流减少到每秒一定数量的数据包。
- 通过一个或多个基于IP或基于DNS的“监视”,将数据流限制到用户希望观察的特定资产。
最后,AXA是一种故意有损的协议。如果用户请求的数据量超过网络可以承载的数据量,就会发生数据溢出。发生这种情况时,损失标记将在AXA流中可靠地传输,以通过AXA会计子系统通知订户(见下文)。此时,用户可能的缓解策略包括:
- 通过速率限制请求更少的数据
- 增加网络容量和/或其他主机资源
- 将SRA流视为总SIE数据的块状和非代表性样本
- 追求直接访问SIE
AXA手表
在AXA的世界里,最终用户注册资产权益的方式是通过所谓的手表。这些是AXA会话的基本构建块。为了完成任何事情,最终用户必须指定一个或多个手表,以通知AXA服务器她感兴趣的内容。
AXA手表有四种不同类型,每种类型如下所述:
- IP手表:用于表示对包含指定IP地址或CIDR块的SIE消息的兴趣。AXA同时支持IPv4和IPv6地址类型。
- DNS监视:用于表示对包含指定主机名、域或通配符主机名的SIE消息的兴趣。
- 频道手表:用于表示对来自给定频道的所有SIE消息的兴趣。这有助于为给定通道启用“消防水带”,并要求SRA从指定通道发送所有内容,而不是匹配IP地址信息或DNS名称。仅适用于SRA连接。
- 错误监视:用于表示对服务器无法解码的SIE消息的兴趣。仅适用于SRA连接,仅用于调试。
手表被引用 标签标签只是用于跟踪单个手表的任意16位整数标签。
当连接到SRA服务器时,标签必须是唯一的。每块手表将使用不同的标签。
根据工具的不同,标记可以由最终用户显式完成,也可以由工具隐式完成。示例如下。
AXA手表示例:SRA
以下示例显示了如何在通道204上监视包含IP地址的SIE消息 10.0.0.1,位于CIDR块中 192.168.0/24,或在 *.farsightsecurity.com 域。
sratool
最终用户为每只手表指定一个唯一的标签:
$sratoolsra>连接。。。sra>1观看ip=10.0.0.11正常观看开始dra>2观看ip=192.168.0/242正常观看开始ra>3观看dns=*.farisightsecurity.com3正常观看开始sra>频道211上*正常频道打开/关闭频道ch211上。。。sratunnel
使用sratunnel,标签是在内部生成的,因此最终用户只需指定 w 期权和上述资产:
$sratunel-w ip=10.0.0.1-w ip=1.168.0/24-w dns=*.farsightsecurity.com-s-157n-c 211SRA和AXA RESTful接口
远视安全高级交换访问(AXA)RESTful接口在 AXA工具包 使基于web的应用程序的开发人员能够与Farsight Security的SIE远程访问(SRA)服务器进行交互。
SRA模块使用RESTful API通过HTTP促进安全信息交换(SIE)的实时数据流。
访问通过作为X-API-key HTTP头传递的API密钥来控制。
Farsight Security AXA RESTful接口没有任何特定的操作系统要求,因为它是通过RESTful API提供的。Farsight Security提供了一个方便的命令行界面(CLI)工具,该工具兼作Python扩展模块,与各种现代操作系统兼容。AXA REST要求HTTPS允许出站 axa-sie.domaintools.com.订阅服务器必须已从Farsight Security购买服务授权,并已为其提供API密钥。
SRA内部
SRA模块使用RESTful API通过HTTP方便了来自SIE的实时数据流。
频道
SRA要求用户指定一个或多个SIE通道进行流式传输。这些被指定为整数,例如“255”。
手表
SRA要求用户指定一个或多个IP监视和/或一个或更多DNS监视。这些告诉服务器要过滤什么并发送给客户端。这些被指定为 ip=<地址>{/CIDR} 或 dns=example.com,或 dns=*.example.com.
例子: -w ip=192.253.0.0/16-w dns=*.example.com
SRA教程:观察新观察到的域名
本教程假设您已注册接收Farsight的新观察域(NOD)数据馈送,以观察新的活动域,并确保您的用户不会访问任何新创建的(通常是恶意的)域。它向您展示了如何实时检查新观察域(NOD)提要。
$sratool
康太太。
*HELLO srad v3.0.1 stage-sax-1支持axa协议v1至v2;当前使用v1
*使用AXA协议2
*OK用户FSI-0410-10112已授权援引 sratool,并使用 连接 命令建立与SRA服务器的连接。连接是通过SSH管理的,这意味着SSH协议赋予的所有好处都可以用于 sratool成功后,客户端从 AXA_P_OP_HELLO 由服务器发送的消息,其中包含服务器的软件版本、名称和AXA协议版本。
SRA>1手表=212
1 OK WATCH已开始通知香格里拉娱乐想要的服务器 看 SIE信道212流量(这是NOD信道)。服务器以当前监视状态进行响应。这个 看 是最基本的 sratool 命令。就是这样 sratool “注册”以从SRA服务器接收数据。顾名思义, 看 设置作为低级原语的监视,该监视告诉SRA服务器客户端对满足以下标准之一的nmsg消息或IP分组感兴趣:
- 发往、发往或包含指定地址
- 包含指定的域名
- 已通过指定的SIE通道到达
- 是无法解码的SIE消息
手表被赋予一个标签,这是一个用于指代手表的整数标签。SRA服务器连接或会话一次可以有零个或多个监视,用户可以根据需要添加或删除监视。请注意 sratool 一次只允许一个SRA连接。
sra>计数5
使用 计数 命令,香格里拉娱乐通知 sratool 香格里拉娱乐只想看到5个包裹。在满足该数字之后, sratool 将停止向屏幕发送数据包(尽管流量可能仍在从服务器流向客户端)。
sra>212频道打开
*正常通道打开/关闭通道ch212打开随着 通道 命令,启用信道212(NOD)。打印当前通道状态。另一个基本命令 sratool 是 通道。在命令行上单独发布时,它将发出为用户配置的可用SIE通道的完整列表。
1 CH212{“时间间隔”:“2023-02-01 19:10:02.5703046”,“名字”:“SIE”,“Mname”:“New域”,“源”:“A1BA02CF”,“消耗品”:{“域”:“Meurepedier.ws.”,“时间间隔”:“2023-02-0119:09:36”,“Bailiwick”:“ws.”,“rrname”:“me urepeditor.cws.”,“keys”:[]。“新的RR”:[]}
1 ch212{“时间”:“2023-02-01 19:10:03.920603701”,“vname”:“SIE”,“mname”:新域,“来源”:“a1ba02cf”,“信息”:{“域”:“aqrin.me.”,“time_seen”:“2023-02-0119:04:04”,“bailiwick”:“me.”,“rrname”:“akrin.me..NS.cloudflare.com.”],“密钥”:[],“new_rr“:[]}}
1 ch212{“时间”:“2023-02-01 19:10:07.132796370”,“名称”:“SIE”,“mname”:“新域”,“来源”:“a1ba02cf”,“信息”:{“域”:“speedpaw.com.”,“时间森”:“2023-02-0119:08:58”,“bailwick”:“com.”y.NS.cloudflare.com.“],”键“:[],”新_rr“:[]}}
1 ch212{“时间”:“2023-02-01 19:10:09.254487282”,“地区名称”:“SIE”,“mname”:“新地区名称”,“来源”:“a1ba02cf”,“信息”:{“地区名称:“jacquelinepongmarketing.com.”,“时间_事务”:“2023-02-0119:09:21”,“bailiali”wick:“com.”,“rrname”:“jacquelinpengmarketig.com.”、“rrclass”:“IN”、“rrtype”:“NS”、“rdata”:[“ns1.bluehost.com”,“ns2.bluehost.com.”],“keys”:[],“new_rr”:[]}}
1 ch212,1 ch212按时间:2023-0202-01-01 1:10:10:10:09.09.09.09.09.9.3255777744830,10:09:10:09.09.9.09.09.09.3255777444830,名称、SIE、名称、名称名称、新区域、来源、a1ba02cf、来源、人头、人头、头、头head“,rrtype”,“NS”,“rdata”:[“ns2.wixdns.net.]”ns3.wixdns.net“]”键“[]”,“new_rr”:[]}]
超过数据包计数限制
sratool 在从服务器接收时发出5个NOD数据包。一旦达到数据包计数限制,发射就会停止。
sra>计数
数据包打印已停止,计数97个数据包前发布 计数 不带参数的命令打印当前计数状态。在这种情况下,香格里拉娱乐发现1990个NOD数据包已经流式传输到客户端,但由于香格里拉娱乐超过了限制,它们没有被发送到屏幕上。
SRA教程2:计数和限制
继续上面的会话,让香格里拉娱乐调整几个旋钮并按下几个按钮。
> 列表手表
1 ch=ch212这个 列表手表 命令打印所有活动手表。香格里拉娱乐还有一个正在运行,香格里拉娱乐只是没有向屏幕发送任何数据包。
> 1 删除
1 OK 停止 手表已删除香格里拉娱乐通过引用其标签来删除手表 删除 命令。
>费率
费率限制
每秒无限制;当前值=307
报告间隔10秒另一个方便的命令, 率 允许香格里拉娱乐查询速率限制器并对其进行控制。目前,没有速率限制——数据包将以最快的速度发出。对于较低带宽的信道,如NOD,这可能不是问题。对于带宽高得多的DNSDB通道,香格里拉娱乐希望限制
服务器将这些数据包发送到的速率 sratool.
>费率1
费率限制
每秒1次;当前值=2
报告间隔10秒使用 率 命令,香格里拉娱乐设置了每秒1个数据包的速率限制。在教程的最后一部分,香格里拉娱乐将研究DNSDB,这将非常有用。
sratunnel教程:新观察到的域
现在,您已经知道如何使用新观察到的域(NOD)数据馈送来监视新活动的域,并确保您的用户不会访问任何新创建的(通常是恶意的)域,香格里拉娱乐将向您展示如何将数据隧道传输到您的本地网络进行批量分析。
要使用本教程中的数据,您需要另一个Farsight的 nmsgtool 公用事业。它是一个非常有用的通用工具,用于处理NMSG(网络消息)。NMSG是Farsight用于键入、构造和打包虚拟数据以供传输的格式。远视科技的大部分数据都以NMSG的形式打包和交付。NMSG套件的详细讨论将在未来的博客系列中介绍。现在,重要的是要了解您可以使用以下方式使用NMSG nmsgtool .
本教程将向您展示如何实时探测从SIE到本地网络的新观测域(NOD)馈送。下面列出了命令及其输出,并进行了讨论。
$sratunnel-s快捷键:[email protected],港口 援引 sratunnel这个 s 选项指示工具在何处以及如何连接。选项字符串应该看起来很熟悉,它与 sratool 具有相同的意图和结果。通过SSH安全连接 sra服务 到 axa-sie.domaintools.com.
>-c 212这个 c 选项将频道设置为流媒体。香格里拉娱乐想要NOD,即212频道。
>-w ch=212这个 w 选项设置手表:在这种情况下,所有东西都在212频道。
>-onmsg:udp:127.0.0.18430最后,香格里拉娱乐指定 -o,告诉 sratunnel 它流式传输的数据放在哪里。在上述情况下,香格里拉娱乐已将NMSG设置为端口8430上的localhost,香格里拉娱乐将在那里找到香格里拉娱乐的输出。数据正在流动。香格里拉娱乐来看看…
$NMSGTool-L 127.0.0.1/8430香格里拉娱乐使用 nmsgtool 连接到端口上的环回地址 8430.
>c 20000这个 c 选项指定要捕获的有效载荷的最大计数。
>-o频道-212.txt这个 -o 选项告诉 nmsgtool 将演示输出写入文件。
$head-8通道-212.txt让香格里拉娱乐检查一个条目。
[98][2014-12-16 23:31:06.438992023][2:5 SIE新域名][a1ba02cf][][][]
每个NMSG数据报都包含一个固定长度的报头,其中包含消息大小、UTC时间戳、消息类型、32位源标识符以及可选的SIE运算符和组码(在本例中均为空)。
域名:免费shee。通用域名格式. 新鲜的新领域,滚出媒体!
发布时间:2014年12月16日23:28:19有多新鲜?在撰写本文时,观察域的时间戳只有两分钟多一点。
rrname:befrenshee。通用域名格式.rrclass:IN(1)rrtype:NS(2)rdata:ns67.domaincontrol.com.rdata:ns68.domaincontrol.com。与域关联的DNS元数据。
$grep^域:channel-212.txt | awk '{print$2}'>NOD.txt按照您认为合适的方式操作数据。
sratunnel教程:创建与SIE的持久连接
使用示例 sratunnel 作为后台进程,将nmsg消息从SIE信道255(SIE心跳信道)流式传输到端口8000上的环回接口。
- 援引 sratunnel 有以下论点。
$sratunnel-s’sh:[email protected]“-c 255-w ch=255-o nmsg:udp:127.0.0.1.8000&- 使用 命令 以确认消息正在流式传输。
$sudo tcpdump-i lo-c 5-nn端口8000
tcpdump:禁止详细输出,使用-v 或 -vv 对于 全协议解码
监听lo,链路类型EN10MB(以太网),捕获大小262144字节
11:18:41.204425 IP 127.0.0.1.36707>127.0.0.1.8000:UDP,长度941
11:18:58.672776 IP 127.0.0.1.36707>127.0.0.1.8000:UDP,长度941
11:19:16.312962 IP 127.0.0.1.36707>127.0.0.1.8000:UDP,长度941
11:19:33.833821 IP 127.0.0.1.36707>127.0.0.1.8000:UDP,长度941
11:19:51.277784 IP 127.0.0.1.36707>127.0.0.1.8000:UDP,长度941
捕获5个数据包
过滤器接收到10个数据包
内核丢弃了0个数据包- 将背景进程置于前台。
$ fg- 杀死 sratunnel 通过按Control-C进行处理。
使用以下方式处理消息 nsmg工具
这个 nmsgtool 该程序是一个单一的工具,用于从各种不同的输入中获取输入,如来自网络的数据流,从网络接口捕获数据,从文件甚至标准输入中读取数据,并使NMSG有效载荷可用于一个或多个输出。
使用nmsgtool从sratunnel查看nmsg流
使用示例 sratunnel 作为后台进程,将nmsg消息从SIE信道255(SIE心跳信道)流式传输到端口8000上的环回接口;使用 nmsgtool 连接到环回接口,并以演示格式将nmsg打印到终端。
- 援引 sratunnel 有以下论点:
$sratunnel-s’sh:[email protected]“-c 255-w ch=255-o nmsg:udp:127.0.0.1.8000&- 援引 nmsgtool 要连接到端口8000上的环回接口,请处理三个有效载荷,并使用演示格式将输出打印到终端。
$nmsgtool-l 127.0.0.1/8000-c 3-o-[23][2017-06-28 19:53:51.844574928][1:11基本编码][1ba02cfd][][]类型:文本有效载荷:<字节阵列透镜=19][23][2017-06-26 19:53:52.345241069][1:11基础编码][1ba 02cfd][]类型:纹理有效载荷:<BYTE阵列透镜=19][23][17-06<副阵列透镜=19>- 将背景进程置于前台。
$ fg- 杀死 sratunnel 通过按Control-C进行处理。
sratunnel教程:使用nmsgtool从sratunnel保存nmsg流
使用示例 sratunnel 作为后台进程,将nmsg消息从SIE信道255(SIE心跳信道)流式传输到端口8000上的环回接口;使用 nmsgtool 使用连接到环回接口并将输出保存到一组旋转文件中 nmsgtool 踢球器功能。
- 援引 sratunnel 有以下论点:
$sratunnel-s’sh:[email protected]“-c 255-w ch=255-o nmsg:udp:127.0.0.1.8000&- 援引 nmsgtool 要连接到端口8000上的环回接口,请每60秒将nmsg文件作为后台进程保存到磁盘。
$nmsgtool-l 127.0.0.1/8000吨60-k“/bin/true”-带ch255&- 使用列出已保存的文件 ls.
$ls-l
总计16
-rw-r-r-1演示演示5518 6月28日16:03
ch255.20170628.2002.1498698127.548592412.nmsg
-rw-r-r-1演示演示6436 6月28日16:04
ch255.20170628.2003.1498698180.574404303.nmsg- 使用以下命令读取其中一个文件 nmsgtool 并将结果以JSON格式输出到终端:
$nmsgtool-r ch255.20170628.2003.1498698180.574404303.nmsg-J-
[时间:“2017-06-28 20:03:02.061745882”:“基地”,
“mname”:“encode”,“source”:“1ba02cfd”
**“消息”:{“类型”:“文本”,“有效载荷”:“IkZTSSBTSUUgaGVhcnRiZWF0Ig==”}}
{时间“:”2017-06-28 20:03:02.562045097,“名称”:“基地”,
“mname”:“encode”,“source”:“1ba02cfd”
“message”:{“type”:“TEXT”,“payload”:“IkZTSSBTSUUgaGVhcnRiZWF0Ig==”}}
“时间”:“2017-06-28 20:03.03.062705039,“名称”:“基地”,
“mname”:“encode”,“source”:“1ba02cfd”
“message”:{“type”:“TEXT”,“payload”:“IkZTSSBTSUUgaGVhcnRiZWF0Ig==”}}- 带上 nmsgtool 背景处理到前台。
$ fg- 杀死 nmsgtool 通过按Control-C进行处理。
- 带上 sratunnel 背景处理到前台。
$ fg- 杀死 sratunnel 通过按Control-C进行处理。
sratool教程:流式SIE流量
sratool 是一个测试/调试/指令命令行工具,用于连接到SRA服务器、设置监视、启用SIE通道和流式传输数据。
此示例使用 sratool 发出在SIE信道255(SIE心跳信道)上看到的五条消息:
$sratoolsra>连接ssh:[email protected]:使用SSH传输连接到SRA服务器。SSH使用其密钥环来证明用户的身份,因此没有“密码:”提示。来自远程端的HELLO响应显示其版本号和协议级别。sra>count 5:指示sratool客户端在输出五条消息后停止。sra>channel 255 on:指示远程端监听SIE通道255,该通道由服务器确认,表示已根据身份验证和授权级别为此通道配置。sra>1 watch ch=255:观看通道255上的所有内容(没有速率限制或过滤)。会计信息
默认情况下,sratool将返回包含与当前会话相关的当前计数器统计信息的AXA记帐消息。有关这些数据包计数的更多详细信息,请参阅 会计 下节
速率限制
速率限制用于限制从服务器传输到客户端的传入AXA消息的速率。虽然它适用于SRA,但它主要适用于高比特率SIE信道,如DNS错误信道。
速率限制示例
终端用户希望在信道204(平均带宽为21Mbps的信道)上观看所有SIE消息,但只希望每秒接收(最多)10条消息。
sratool
与 sratool,最终用户可以选择接收速率限制损失报告。以下示例指定速率限制值为10,服务器速率限制报告之间的间隔为5秒:
$sratool
sra> 连接。。。
sra> 费率10 5
*期权利率限额
每秒10次;当前值=0
报告间隔5秒
sra> 1块手表ch=211
sra> 211频道开启
...
*错过了
丢失0个输入数据包、因拥塞而丢弃0个,
删除了57911个速率限制,过滤了72417个
自2016年10月11日14:25:32起sratunnel
使用sratunnel,速率限制被指定为一个简单的命令行选项:
$sratunnel-r 10-w ch=211-s-或[UNK]-c 211取样
采样是一种对来自服务器的消息百分比进行统计采样的方法。例如,如果选择值50,AXA将返回手表捕获的消息的50%的均匀分布随机样本。使用任何工具启用采样都非常简单。
sratool
$sratool
sra> 连接。。。
sra> 样品50
*选项样本50.00%
...sratunnel
$ 伊斯拉通内尔-m 50。TCP缓冲区大小
AXA允许最终用户获取或设置服务器使用的TCP发送缓冲区大小。这些缓冲区用于累积网络堆栈尚未能够放在线路上的输出数据以及从线路接收但尚未被应用程序读取的数据。简单地说,如果你知道自己在做什么,这些选项允许最终用户调整内核内TCP缓冲区的大小,以优化网络性能。另外,这些选项不会直接调整TCP窗口大小(请参见 TCP窗口和窗口缩放 了解更多信息)。
请注意,在内部,TCP实际分配的缓冲区大小是请求缓冲区大小的两倍(将额外空间用于内部目的)。这就是AXA返回请求大小两倍的缓冲区的原因。最小大小为1024,最大大小为262142。只有 sratool 支持基于TCP的连接的此选项。
sratool
与 sratool,获取和设置窗口大小很容易:
$sratool
sra> 连接。。。
sra> 窗口
*选项bufsize=262142
sra> 窗口8192
*选项bufsize=16384会计
AXA有一系列服务器端数据包计数器,用于跟踪流量总量。这是AXA跟踪、记录和传递服务器端数据包信息的机制。此信息适用于SIE远程访问(SRA)的用户。
什么是会计?
会计是安盛追踪流量总量的一种方式。在服务器端,AXA维护一系列每客户端数据包计数器(完整列表如下)。AXA协议消息 AXA_P_OP_ct 从客户端发送到服务器用于查询此数据。该功能可从以下网址获得 sratool 通过 帐户 命令。也可从以下网址获得 sratunnel 通过 A. 命令行选项。服务器端也会记录会计消息。
会计术语表
AXA会计计数器如下所述。
- 完全拥挤:由于连接问题无法转发到客户端的数据包,尽管也可能是客户端负载(即连接从服务器删除数据的速度不够快,或者客户端读取和处理数据的速度也不够快)。请注意:高服务器负载可能会增加总错过次数,但通常会减少 完全拥挤 通过节流对堵塞管道/过程的输入。
- 总过滤:这是一个SRA输入计数器。它测量在输入端读取的数据包/nmsg(通常直接从SIE网络读取),并将其提交给过滤逻辑(即:AXA手表)。
- 全部错过:这是一个SRA损失计数器。它测量SRA服务器在输入端未能接收到的数据包,这可能是因为守护进程太忙,也可能是因为它们在传输过程中丢失。此计数器跟踪基于NMSG和pcap的损耗。
- 总利率限制:这会测量丢弃而不是转发到SRA客户端的数据包,以符合为客户端指定的速率限制。
- 发送总数:这会测量已发送到SRA客户端的数据包。
使用sratool进行会计处理
让香格里拉娱乐来看看一个常见的 sratool-基于示例。在这里 sratool 用于连接到SRA服务器,并为香格里拉娱乐流行的DNS更改频道设置了“消防水带”监视。
$sratool
sra> ch 214;1瓦赫=214
[省略观看点击]这将运行大约三分钟的挂钟时间。接下来,暂停输出并运行记帐命令。
sra>暂停
*OK PAUSE输出已暂停
%s、 %s、%s、%s和%s
*已筛选的OK帐户总数=66360总遗漏数=0总收集数=0总发送数=64912
Total-RateLimited=0 Total-Congested=0- 香格里拉娱乐看到从SIE通道读取了66360 nmsg有效载荷。对于手表组来说,这是对整体数据包速率的一个很好的近似值。通道214的平均有效载荷速率约为每秒340个有效载荷,在这个非常小的三分钟窗口内,香格里拉娱乐观察到约369个数据包/秒。
- 没有丢失的包裹。香格里拉娱乐预计SIE输入端不会出现数据包丢失。如果有如此低的带宽信道,这将表明服务器端网络故障或服务器过载。
- 香格里拉娱乐看到有64912个数据包从SRA服务器发送到香格里拉娱乐的 sratool 客户。这很好,也是香格里拉娱乐所期望的。
- 因为没有拥塞或速率限制,你可能会想知道为什么发送的数据包数量低于过滤的数据包的数量。这是因为当香格里拉娱乐停止向客户端发送数据包时,香格里拉娱乐并没有阻止服务器对其进行过滤。SRA仍在从输入通道读取数据,但未转发任何数据包。
使用sratunnel进行会计处理
让香格里拉娱乐来看另一个例子,这次使用 sratunnel.使用 超时 实用性, sratunnel 它运行了三分钟。它连接到同一个SRA服务器,并为DNS错误通道设置消防水带监视。最后,the -A 180天 选项字符串指示 sratunnel 每180秒发出一次会计统计数据,并将结果写入文件。
$timeout 180 sratunnel-s tls:userm@sra-server,1021-w“ch=220”-c 220-A 180-d-o nmsg:文件:test-220.nmsg正在连接 到 tls:userm@sra-server,1021总计过滤=4183437总计遗漏=44总计收集=0总计发送=84371总计速率限制=0总计拥塞=4096266- 这一次,从SIE信道读取了4183437个数据包。如上计算,香格里拉娱乐发现这相当于每秒约23241个有效载荷,这与信道220每秒约24000个有效载荷的较高平均速率相称(它来自香格里拉娱乐的被动DNS馈送,每秒有效载荷速率约为120000)。
- 输入端丢失了44个数据包。这是0.001%的损失率,完全在可接受的范围内。
- 仅向客户端发送了84371个数据包。为了理解原因,香格里拉娱乐看看拥堵数字。
- 由于拥塞,4096266个数据包丢失。在这种情况下,这个高数字可能是由于客户端位于SRA服务器所在的SIE数据中心的另一端。此外,客户端的下游互联网连接速度太慢,无法跟上信道220的高速率。
AXA要求
操作系统
例如Linux、FreeBSD或其他POSIX兼容操作系统。
硬件
下面列出了开始使用高级Exchange访问工具包中的工具的最低硬件要求。根据正在处理的数据量,可能需要相应地增加资源。
- 1个CPU
- 1GB内存
- 1 GB磁盘
网络
高级Exchange访问工具包中的工具需要允许出站 axa-sie.domaintools.com 并通过TCP使用端口22。
服务权利
订阅者必须已从Farsight Security购买SIE服务授权,并已使用SSH密钥配置访问权限。
安装高级Exchange访问工具包(axa-tools)
Debian
这些说明使用由Farsight Security创建、维护和托管的Debian软件包。
- 下载Farsight Apt签名密钥。
$sudo wget-O/etc/apt/trusted.gpg.d/debian-farsightsec。gpghttps://dl.farsightsecurity.com/debian/archive.pubkey- 添加Farsight Debian存储库。
$echo”debhttp://dl.farsightsecurity.com/debian靶心远视秒main“| sudo tee-a/etc/apt/sources.list.d/debian-farsightsec.list- 重新同步包索引文件。
$ sudo apt更新- 安装高级Exchange访问工具包(axa-tools)。
$ sudo apt安装axa工具从源代码构建
请参阅标题为 手动构建 在GitHub存储库中的README文件中 远景高级交换访问工具包
使用SSH配置高级Exchange访问
- 在配置时,您会被要求生成一个用于身份验证的SSH密钥对。以下步骤将引用此密钥,请确保在配置密钥时引用了正确的目录路径。
$ssh-keygen-t rsa-b 4096-C远视安全-f~/.ssh/远视安全- 使用以下命令创建或编辑SSH配置文件:
$vim~/.ssh/config添加以下内容:
主机axa-sie.domaintools.com身份文件~/.ssh/farsight_security安装nmsgtool
- 如果您尚未安装 nmsgtool ,通过安装 恰当的:
$sudo apt安装nmsgtool nmsg msg模块sie
